Вирус вызвал сбой системы.

[mikl power]

После проверки антивирусом моего компа и удаления нескольких вирусов, появилась проблема после загрузки windows вылезает чёрное окно и сообщение:

16 разрядная подссистема ms-dos.

C:\program~1\micros~1\webfol~1\ibm00001.exe

C:\ progra`1\simantec\s32evnt1.dll

Сбой при инициализации драйвера виртуального устройства. Для завершения работы приложения нажмите кнопку "Закрыть".

Пожал подскажите Что сделать чтобы этой проблемы небыло. Заране вам благодарен.

[STRATEG]

Найти и удалить ключи!

1 в реестре

2 в службах

3 в msconfig

[mikl power]

А как найти и удалить этот ключик поподробнее, и где его верней искать?

[Saule]

После проверки антивирусом моего компа и удаления нескольких вирусов, появилась проблема после загрузки windows вылезает чёрное окно и сообщение:

16 разрядная подссистема ms-dos.

C:\program~1\micros~1\webfol~1\ibm00001.exe

C:\ progra`1\simantec\s32evnt1.dll

Сбой при инициализации драйвера виртуального устройства. Для завершения работы приложения нажмите кнопку "Закрыть".

Пожал подскажите Что сделать чтобы этой проблемы небыло. Заране вам благодарен.

Кстати, обычно в таких случаях это указывает лишь на то, что вирус не был удален полностью и где-то что-то еще осталось :)

Поэтому если есть желание, на всякий случай скачай HijackThis (включи и нажми на кнопку Do a systemscan and save a logfile. Он выдаст свой лог, который просто пришли мне в PM или выложи на форуме).

[mikl power]

Saule: выкладываю лог как просила.

Logfile of HijackThis v1.99.1

Scan saved at 13:25:06, on 07.02.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\ups.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\explorer.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\mikle power\Рабочий стол\закачка\Архивы\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E96C80EF-04AE-4C96-9678-7F1958E3359C}: NameServer = 213.177.96.1

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[STRATEG]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

смотри также RunOnce....

там стеси ключи -

ibm00001.exe

s32evnt1.dll

НЕ НАЙДЁШ ...вообше дать полный поиск в реестре по этим названиям и поснасить всё что савподёт с путём

C:\program~1\micros~1\webfol~1\ibm00001.exe

C:\ progra`1\simantec\s32evnt1.dll

---------

по форуму пройдись

фраза реестр, или чистка реестра...

[Roader]

Программы, запускаемые при старте Windows, ты можешь найти в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

и в папках.

%USERPROFILE%\Главное меню\Программы\Автозагрузка

Documents and Settings\All Users\Главное меню\Программы\Автозагрузка

Если не охота лазить долго, то можешь воспользоваться средствами Windows: Пуск ->> Выполнить ->> MSConfig Там есть вкладки Службы и Автозагрузка. В Автозагрузке находятся все пути, которые выделил я жирным шрифтом. Остальные служат для однократного запуска.

На вкладке службы находятся все службы, которые настроены на автоматический запуск при загрузке системы (запуск-Авто), посмотри, нет ли незнакомых тебе служб. Если службе разрешено взаимодействие с рабочим столом, то она может успешно отображать "себя" и свои ошибки (и тем более при запуске).

Ну и естественно поищи в реестре ibm00001.exe. Удачи ;)

[Saule]

Saule: выкладываю лог как просила.

ibm00001.exe - это троян, которого ты уже скорей всего удалил, но он успел немного испортить файл system.ini.

Чтобы это исправить, делаем следующее:

Открой HijackThis, нажми на кнопку "Do a system scan only" и отметь галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

Затем нажимаем на кнопку "Fix Checked" (важно, чтобы при нажатии на эту кнопку, все посторонние программы и, главное, браузер были закрыты. Открыт только HijackThis).

После этого сообщения об ошибке исчезнут.

-----------------

Что касаеться драйвера Симантика, то его просто нужно скачать вот отсюда:

ftp://ftp.symantec.com/public/english_us_...vnt/sevinst.exe

После того, как скачаешь, кликни на файл Sevinst.exe двойным кликом.

И когда инсталяция будет закончена, нажми на ОК и перезагрузи свой компьютер.

В случае каких-либо сомнений почитать об этом подробнее можно тута:

http://www.symantec.com/techsupp/files/symevnt/symevnt.html

[mikl power]

ОГРОМНАЯ ВСЕМ СПАСИБА! ошибки больше нет. ;)

[ju-ju]

Добрый день!

Словила на кануне этот же вирус. Чистила комп доктором Вэбом. Стоявший ранее Симантек не справился. Вирус доктор сейчас не находит. Реестр почистила, так что при загрузке никто ничего не просит. Но стоит другая проблема, более неприятная. Периодически, даже если на компе ничего не запущено, возникает окно экплорера, в котором написано, что это HightBeam Research и что они предлагают мне купить какую-то карточку, предоставляющую на что-то скидку 5 процентов.

Ну да ни суть. Дырка где-то осталась и меня она очень пугает. Как с этим бороться, может кто сталкивался?

[Saule]

Добрый день!

Словила на кануне этот же вирус. Чистила комп доктором Вэбом. Стоявший ранее Симантек не справился. Вирус доктор сейчас не находит. Реестр почистила, так что при загрузке никто ничего не просит. Но стоит другая проблема, более неприятная. Периодически, даже если на компе ничего не запущено, возникает окно экплорера, в котором написано, что это HightBeam Research и что они предлагают мне купить какую-то карточку, предоставляющую на что-то скидку 5 процентов.

Ну да ни суть. Дырка где-то осталась и меня она очень пугает. Как с этим бороться, может кто сталкивался?

Если есть желание - скачайте HijackThis

Включите и сохраните лог программы (кнопка Do a systemscan and save a logfile).

Этот лог пришлите в PM или выложите на форуме

[ju-ju]

Вот он:

Logfile of HijackThis v1.99.1

Scan saved at 11:50:35, on 27.03.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATK0100\Hcontrol.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe

C:\Program Files\ASUS\ASUS Probe\AsusProb.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\ASWLSVC.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ASWL2K.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\WINDOWS\System32\wuauclt.exe

A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\System32\IeHelperExVSS.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll

O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\ASUS Probe\AsusProb.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=042505 serial=DR12WNW-9936008-NXQ lang=EN

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\ICQNet.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ] C:\Program Files\ICQ\ICQ.exe -trayboot

O4 - Startup: Ярлык для vpn.ustu.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143344943903

O17 - HKLM\System\CCS\Services\Tcpip\..\{239D5C46-A18A-492A-A052-EC30C612970D}: NameServer = 194.226.224.35

O17 - HKLM\System\CCS\Services\Tcpip\..\{B41304FB-230C-430B-B759-5D02F99201FF}: NameServer = 194.226.224.35,194.226.227.130

O17 - HKLM\System\CS1\Services\Tcpip\..\{239D5C46-A18A-492A-A052-EC30C612970D}: NameServer = 194.226.224.35

O17 - HKLM\System\CS2\Services\Tcpip\..\{239D5C46-A18A-492A-A052-EC30C612970D}: NameServer = 194.226.224.35

O20 - Winlogon Notify: Mixer - sndmixex.dll (file missing)

O21 - SSODL: Adobe PageMaker 6.5 - {40EFB9DA-4482-007F-C41C-69FDF9151607} - c:\program files\adobe\pm65\winqxkx1.dll (file missing)

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll (file missing)

O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Common Files\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[Saule]

Вот он:

Logfile of HijackThis v1.99.1

Scan saved at 11:50:35, on 27.03.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\System32\IeHelperExVSS.dll

O4 - Startup: Ярлык для vpn.ustu.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: Mixer - sndmixex.dll (file missing)

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll (file missing)

Затем нажимаем на кнопку "Fix Checked" (важно, чтобы при нажатии на эту кнопку, браузер был бы закрыт).

Затем перезагружаем компьютер, и удаляем файл (если HijackThis вдруг его сам не удалит):

C:\WINDOWS\System32\IeHelperExVSS.dll

[ju-ju]

Спасибо

Сделала чуть подробнее, заодно вычистила ещё одну зараженную dll-ку и зараженные куки. Как написано здесь:

http://forums.maddoktor2.com/index.php?showtopic=7058

Ваше сообщение прочитала позже.

Сейчас стоит вопрос чем защищаться... Поставить сервис-паки... что ещё?

В хэлпе по виндозе написано, что на vpn сети ставить файерволы не рекомендуется. Доктор Вэб, последние 8 инфицированных объектов не отловил, зато их при сканировании выявил ewido.

Будет время - ответьте пожалуйста!